Pev 是一个多平台 PE 分析工具包,包括用于
检索和解析有关 Windows PE 文件的信息。
* pehash - 计算 PE 文件的哈希值
* pedis - PE反汇编器
* pepack - 封隔器检测器
* pescan - 在 PE 文件中搜索可疑内容,包括 TLS 回调
* pesec - 检查 PE 文件中的安全功能
* petr - 在 PE 文件中搜索 unicode 和 ascii 字符串
* readpe - 显示 PE 文件头、节等
* rva2ofs - 将 RVA 转换为原始文件偏移量
* ofs2rva - 将原始文件偏移量转换为 RVA
要点是:
- 不需要 Windows API。 我们使用我们自己的名为 libpe 的 PE 库。
- 在 Windows、Linux 和 OS X 上测试。
- 支持 32 位和 64 位 PE 文件。
- 完全用 C 编写,使用 C99 标准。 所以,它是多平台的。
- 完全可编写脚本。 所有 pev 工具都使用 CLI 并以明文和 CSV(开发中的 HTML、XML 和 JSON)生成输出。
(Pev is a multiplatform PE analysis toolkit that includes tools to
retrieve and parsing information about Windows PE files.
* pehash - calculate PE file hashes
* pedis - PE disassembler
* pepack - packer detector
* pescan - search for suspicious things in PE files, including TLS callbacks
* pesec - check security features in PE files
* pestr - search for unicode and ascii strings in PE files
* readpe - show PE file headers, sections and more
* rva2ofs - convert RVA to raw file offsets
* ofs2rva - convert raw file offsets to RVA
The main points are:
- No need for Windows API. We use our own PE library called libpe.
- Tested on Windows, Linux and OS X.
- Support for 32 and 64-bit PE files.
- Written entirely in C, using C99 standard. So, it's multiplatform.
- Fully scriptable. All pev tools uses CLI and produces outputs in clear text and CSV (HTML, XML and JSON in development).)